Portail officiel de la sécurité informatique - ANSSI - République française

Ce chapitre donne l’historique des différentes étapes de la construction juridique du concept de signature électronique :

 la directive européenne,
 la transposition française.

Directive européenne

La directive du Parlement européen et du Conseil, du 13 décembre 1999, définit le cadre communautaire pour les signatures électroniques.

Objectif

Son objectif, rappelé dans l’article 1er de la directive, est de : « … faciliter l’utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique. Elle institue un cadre pour les signatures et certains services de certification afin de garantir le bon fonctionnement du marché intérieur ».

De plus : « Elle ne couvre pas les aspects liés à la conclusion et à la validité des contrats ou d’autres obligations légales lorsque des exigences d’ordre formel sont prescrites par la législation nationale ou communautaire ; elle ne porte pas non plus atteinte aux règles et limites régissant l’utilisation de documents, qui figurent dans la législation nationale ou communautaire. »

Effets juridiques de la signature électronique

La directive reconnaît, dans son article 5, deux catégories de signature électronique, toutes deux recevables en justice, qui se distinguent par leurs exigences techniques et leurs effets juridiques.

Bas niveau de reconnaissance juridique

Une signature électronique, répondant à la définition qui en est faite à l’article 2, ne pourra pas être refusée au titre de preuve en justice mais ne pourra prétendre à un niveau de reconnaissance équivalent à celui de la signature manuscrite.

« “Signature électronique”, une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification. »

Haut niveau de reconnaissance juridique

Article 5.1 : « les signatures électroniques avancées, basées sur un certificat qualifié, et créées par un dispositif sécurisé de création de signature répondent aux exigences légales d’une signature à l’égard de données électroniques, de la même manière qu’une signature manuscrite répond à ces exigences à l’égard de données manuscrites ou imprimées sur papier et [sont] recevables comme preuves en justice. »

L’équivalence de la signature électronique avec la signature manuscrite est acquise dès lors que trois conditions sont remplies :

 la mise en œuvre d’une signature électronique avancée, définie dans l’article 2 comme : “signature électronique avancée”, une signature électronique qui satisfait aux exigences suivantes :
a) être liée uniquement au signataire ;
b) permettre d’identifier le signataire ;
c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
d) être liée aux données auxquelles elle se rapporte, de telle sorte que toute modification ultérieure des données soit détectable.
 l’utilisation d’un dispositif sécurisé de création de signature électronique, certifié conforme aux exigences de l’annexe III de la directive (cf. article 3.4),
 l’utilisation d’un certificat qualifié pour vérifier la signature, c’est-à-dire : “un certificat qui satisfait aux exigences visées à l’annexe I et qui est fourni par un prestataire de service de certification satisfaisant aux exigences visées à l’annexe II” (cf. article 2).

Initiative européenne de normalisation

À la suite de la directive européenne 1999/93/CE, la Commission européenne a lancé une initiative européenne de normalisation : EESSI (European Electronic Signature Standardization Initiative), afin de mettre sous forme de documents techniques normatifs les exigences retenues dans la directive et notamment celles figurant dans les annexes. Les travaux de normalisation ont été confiés à deux organismes européens :

 le CEN : comité européen de normalisation,
 l’ETSI : European Telecommunications Standards Institute.

Conformément à la directive 1999/93/CE (article 3.4 et 3.5), la Commission européenne a publié le 15 juillet dernier au JOCE des références de normes, issues de cette initiative, après consultation du comité article 9 (instauré par la directive et composé de représentants des états membres). (cf. Publications des normes)

Transposition française

La transposition française s’est effectuée en plusieurs étapes par :

 la loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique,
 la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, notamment son article 33 qui précise le régime de responsabilité des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés,
 la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui transpose, dans son article 5 l’article 8 de la directive, relatif à la protection des données (nouvel article 33 dans la loi du 6 janvier 1978 modifiée),
 le décret n° 2001-272 du 30 mars 2001, pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique, modifié par le décret n°2002-535 du 18 avril 2002,
 le décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information,
 l’arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation.

La modification du code civil

La modification principale est l’insertion de l’article 1316-4 dans le code civil par l’article 4 de la loi n° 2000-230 du 13 mars 2000 parue au journal au journal officiel du 14 mars 2000.

Cet article définit la signature et pose l’équivalence entre la signature électronique et la signature manuscrite sous certaines conditions.

Les réflexions, menées lors de la transposition de la directive 1999/93/CE en droit français, ont permis d’introduire dans le code civil une définition de la signature. Ainsi, le premier alinéa de l’article 1316-4 définit la signature comme suit : « la signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte ».

Le deuxième alinéa de l’article 1316-4 du code civil définit plus particulièrement la signature électronique, posant ainsi l’équivalence entre la signature électronique et la signature manuscrite sous certaines conditions : « lorsqu’elle [la signature] est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ».

Dès lors, toutes les signatures électroniques sont recevables en justice à partir du moment ou elles assurent, à l’aide d’un procédé fiable, l’identification du signataire et la garantie de l’intégrité de l’acte signé. Sous certaines condition, la fiabilité du procédé de signature électronique est présumée.

« La fiabilité de ce procédé est présumée, jusqu’à preuve du contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées en Conseil d’État. » (article 1316-4 du Code civil)

Effets juridiques de la signature électronique

Cette loi esquisse donc deux niveaux de validité juridique pour les signatures électroniques dont les caractéristiques sont définies dans le décret 2001-272 du 30 mars 2001 :

 la signature électronique “simple”,
 la signature électronique “présumée fiable”.

La signature électronique “simple”

L’article 4 de la loi 2000-230 du 13 mars 2000 définit la signature électronique en ces termes : « lorsqu’elle [la signature] est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. »

À ce niveau, le procédé de signature électronique n’est pas présumé fiable mais l’écrit signé ainsi sous forme électronique ne pourra être refusé en justice au titre de preuve dès lors que le procédé permet d’identifier le signataire et de garantir le lien avec l’acte signé. En cas de contestation, il est nécessaire de prouver la fiabilité du procédé de signature électronique utilisé.

La signature électronique “présumée fiable”

L’article 4 de la loi 2000-230 du 13 mars 2000 précise que la charge de la preuve peut être inversée, en cas de contestation, sous certaines conditions définies par décret : « la fiabilité de ce procédé est présumée, jusqu’à preuve du contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées en Conseil d’État. »

Le décret 2001-272 du 30 mars 2001

L’article 2 du décret 2001-272 du 30 mars 2001 décrit les conditions selon lesquelles le procédé de signature électronique est considéré comme fiable :

 La signature électronique est sécurisée : c’est-à-dire qu’il s’agit d’une donnée qui résulte de l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache et qui satisfait, en outre, aux exigences suivantes :

• être propre au signataire ;
• être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
• garantir, avec l’acte auquel elle s’attache, un lien tel que toute modification ultérieure de l’acte soit détectable.
   La signature électronique est établie grâce à un dispositif sécurisé de création de signature électronique. Pour qu’un dispositif de création de signature soit reconnu comme sécurisé, il doit répondre à un certain nombre d’exigences décrites dans l’article 3.I du décret 2001-272 et être certifié conforme à ces exigences.
   La vérification de la signature électronique repose sur l’utilisation d’un certificat électronique qualifié : article 6 du décret.

Pour bénéficier de la présomption de fiabilité, le signataire devra donc mettre en œuvre une signature sécurisée utilisant un :

 “dispositif sécurisé de création de signature”,
 et un “certificat qualifié”.